零知识证明与数字身份：多重困境与解决之道

如今，零知识证明技术在数字身份系统中的应用已成为主流。各类基于零知识证明的身份项目正在开发用户友好的软件包，让用户无需透露身份细节即可证明自身持有有效身份。采用生物识别技术和零知识证明的World ID用户数量已超过1000万。台湾和欧盟等地区的数字身份项目也越来越重视零知识证明技术。

表面上看，基于零知识证明的数字身份普及似乎是去中心化加速主义(d/acc)的胜利。它可以在不牺牲隐私的前提下,保护社交媒体、投票系统和互联网服务免受女巫攻击和机器人操纵。但事实真的如此简单吗?本文将阐述以下观点:

• 零知识证明包装解决了许多重要问题
• 但仍存在风险,主要源于对"一人一身份"属性的严格维护
• 单纯依靠"财富证明"来防范女巫攻击是不够的,我们需要某种"类身份"方案
• 理想状态是获得N个身份的成本为N²
• 多元身份是最现实的解决方案,可以是显性的(基于社交图谱)或隐性的(多种零知识证明身份并存)

零知识证明身份的运作机制

假设你通过扫描眼球获得World ID,或用手机NFC扫描护照获得基于零知识证明的护照身份。你的手机上有一个秘密值s,链上全球注册表中有对应的公开哈希值H(s)。登录应用时,你会生成特定于该应用的用户ID:H(s, app_name),并通过零知识证明验证这个ID与注册表中某个公开哈希值源自同一个秘密值s。

这种设计可能会更复杂。例如World ID中,应用专属ID包含应用ID和会话ID的哈希值,使同一应用内的不同操作也可以相互解除关联。基于零知识证明护照的设计也可以采用类似方式构建。

这种身份系统相比传统方式有明显优势。传统身份验证往往要求用户透露完整法定身份,严重违反了最小权限原则。而零知识证明包装技术在很大程度上解决了这个问题。

但仍有一些问题未得到解决,甚至可能因"一人一身份"的严格限制而更加严重。

零知识证明本身无法实现匿名性

假设一个零知识证明身份平台完全按预期运行,但应用程序不会主动配合隐私保护,而是采用"实用主义"原则,为每位用户分配唯一的应用专属ID。由于身份系统遵循"一人一身份"规则,用户只能拥有一个账户。

现实中匿名性的实现通常需要多个账户:一个用于常规身份,其他用于匿名身份。因此,这种模式下用户实际获得的匿名性可能低于当前水平。即便是经零知识证明包装的"一人一身份"系统,也可能让我们逐渐走向一个所有活动都必须依附于单一公开身份的世界。

零知识证明本身无法保护你免受胁迫

即便你不公开秘密值s,没人能看到你各账户之间的公开关联,但如果有人强制你公开呢?政府可能会强制要求透露秘密值,以便查看所有活动。雇主也可能将透露完整公开资料作为雇佣条件。某些应用甚至可能在技术层面要求用户透露其在其他应用上的身份才允许注册使用。

在这些情况下,零知识证明的价值荡然无存,但"一人一账户"的弊端却依然存在。

我们可以通过设计优化来降低胁迫风险,例如采用多方计算机制生成每个应用专属ID。但这无法彻底消除风险,而且还存在其他弊端。

零知识证明本身无法解决非隐私类风险

所有身份形式都存在边缘案例:

• 基于政府发行的身份无法覆盖无国籍人士
• 多重国籍持有者会获得独特特权
• 护照签发机构可能遭遇黑客攻击或被伪造
• 生物识别身份对某些人可能完全失效
• 生物识别身份可能被仿制品欺骗

这些边缘案例在试图维持"一人一身份"属性的系统中危害最大,且与隐私无关。因此,零知识证明对此无能为力。

依靠"财富证明"防范女巫攻击并不足够

纯粹的密码朋克群体中,一个常见的替代方案是完全依赖"财富证明"来防范女巫攻击。通过让每个账户产生一定成本,就能阻止有人轻易创建大量账号。这种做法在互联网上早有先例,例如Somethingawful论坛要求注册账户支付10美元的一次性费用。

理论上,甚至可以让支付具备条件性:注册账户时只需质押资金,仅在账号被封禁时才会损失这笔资金。这能大幅提高攻击成本。

这种方案在许多场景中效果显著,但在某些类型的场景中却完全行不通。我将重点讨论两类场景:类全民基本收入场景(UBI-like)和类治理场景(governance-like)。

类全民基本收入场景中对身份的需求

类全民基本收入场景指需要向极广泛用户群体发放一定数量资产或服务,且不考虑其支付能力的场景。Worldcoin就是系统性地践行这一点:任何拥有World ID的人都能定期获得少量WLD代币。许多代币空投也以更非正式的方式实现类似目标。

我认为这类"小型全民基本收入"能切实解决的问题是:让人们获得足够数量的加密货币,以完成一些基础的链上交易和在线购买。具体可能包括:

• 获取ENS名称
• 在链上发布哈希以初始化某个零知识证明身份
• 支付社交媒体平台费用

若加密货币在全球范围内得到广泛采用,这一问题便不复存在。但在加密货币尚未普及的当下,这可能是人们获取链上非金融应用及相关在线商品服务的唯一途径。

另一种实现类似效果的方式是"全民基本服务":为每个拥有身份的人提供在特定应用内发送有限数量免费交易的权限。这种方式可能更符合激励机制,且资本效率更高。但即便如此,这里依然需要一套身份解决方案,以防止系统遭受垃圾信息攻击,同时避免产生排他性。

最后一个值得强调的重要类别是"全民基本保证金"。身份的功能之一是提供一个可用于追责的标的,而无需用户质押与激励规模相当的资金。这也有助于降低参与门槛对个人资本量的依赖。

类治理场景中对身份的需求

在投票系统中,如果用户A的资源是用户B的10倍,那么其投票权也会是B的10倍。但从经济角度看,每单位投票权给A带来的收益是给B带来的10倍。因此,总体而言,A的投票对自身的益处是B的投票对自身益处的100倍。这就是代币投票机制中"巨鲸"能产生过度影响的根本原因。

更深层的原因在于:治理系统不应将"一人掌控10万美元"与"1000人共持10万美元"赋予同等权重。后者代表着1000个独立个体,因此会包含更丰富的有价值信息,而非小体量信息的高度重复。来自1000人的信号也往往更"温和",因为不同个体的意见往往会相互抵消。

这表明,类治理系统不会真正满足于"不论资金来源,同等规模的资金束都一视同仁"的做法。系统其实需要了解这些资金束的内部协调程度。

需要注意的是,若你认同我对上述两类场景的描述框架,那么从技术层面而言,对"一人一票"这种明确规则的需求就不复存在了。

• 对于类全民基本收入场景的应用而言,真正需要的身份方案是:首个身份免费,对可获取的身份数量设限。
• 对于类治理场景的应用而言,核心需求是:能够通过某种间接指标判断,你所接触的这一笔资源,其背后是单一的操控主体,还是某种"自然形成的"、协调程度较低的群体。

在这两种场景中,身份依然非常有用,但对其遵循"一人一身份"这类严格规则的要求,已不复存在。

理论上的理想状态是:获得N个身份的成本为N²

从上述论点中,我们可以看到有两种压力从相反的两端限制了身份系统中获取多个身份的期望难度:

首先,不能对"能轻松获取的身份数量"设置一个清晰可见的硬性限制。如果一个人只能拥有一个身份,就无从谈起匿名性,且可能被胁迫泄露身份。

其次,身份不能完全与财务挂钩(即获取N个身份的成本为N),因为这会让大型主体轻易获得过大的影响力。Twitter Blue的新机制就体现了这一点:每月8美元的认证费用过低,根本无法有效限制滥用行为。

综合上述论点,我们希望在满足以下约束条件的前提下,尽可能容易地获得多个身份:(1)在类治理应用中限制大型主体的权力;(2)在类全民基本收入应用中限制滥用行为。

若直接借鉴前文中类治理应用的数学模型,我们会得到一个清晰的答案:如果拥有N个身份能带来N²的影响力,那么获取N个身份的成本就应当是N²。巧合的是,这一答案对于类全民基本收入应用同样适用。

多元身份体系可实现这一理想状态

所谓"多元身份体系",指的是不存在单一主导发行机构的身份机制。这一体系可通过两种方式实现:

• 显性多元身份(也称为"基于社交图谱的身份")。你可通过所在社群中其他人的证明来证实自己的身份,而这些证明者的身份又通过同样的机制得到验证。Circles是目前正在运行的实例。

• 隐性多元身份。这是当前的现状,存在众多不同的身份提供者,包括谷歌、推特,各国的同类平台以及多种政府发行的身份证件等。极少有应用只接受其中一种身份认证,大多数应用会兼容多种。

显性多元身份自然具备匿名性:你可以有一个匿名身份(甚至多个),每个身份都可以通过自己的行动在社区中建立声誉。一个理想的显性多元身份系统甚至可能不需要"独立身份"的概念;相反,你或许会拥有一个由可验证的过往行为构成的模糊集合,并能根据每次行为的需要,以精细化方式证明其中的不同部分。

零知识证明将使匿名性更容易实现:你可以利用主身份来启动一个匿名身份,通过私下提供首个信号让新匿名身份获得